Tecnologia para Prevenção de Crimes Digitais

2010 | 11 Pedro Siena Neto

Agenda

Aula 1 | Segurança da Informação Aula 2 | Técnicas de Prevenção Aula 3 | Tecnologias | Auditoria

Tecnologia para Prevenção de Crimes Digitais

2010 | 11 Pedro Siena Neto

Aula 01Segurança da Informação

Conceitos | Crime

Crime Acepções

■ substantivo masculino 1    Rubrica: termo jurídico.      transgressão imputável da lei penal por dolo ou culpa, ação ou omissão; delito 2    Rubrica: termo jurídico.      conforme o conceito analítico, ação típica e antijurídica, culpável e punível 3    Rubrica: termo jurídico.      conforme o conceito material, ato que viola ou ofende um bem juridicamente tutelado 4    Derivação: por extensão de sentido.      ação condenável, temida por suas conseqüências sociais desastrosas ou desagradáveis Ex.: desmatar é sempre um c. 5    Derivação: por extensão de sentido.      qualquer ação, individual ou coletiva, ética e socialmente condenável Ex.: jogar comida fora é um verdadeiro c. 6    Derivação: por extensão de sentido.      qualquer transgressão moral ou ética, socialmente rejeitada, cometida por uma ou mais pessoas

Conceitos | Dado | Informação DADO: fatos em forma primária

Ex: nome, saldo bancário, ...

INFORMAÇÃO: estruturas significantes com a intenção de gerar conhecimento no indivíduo e seu espaço Ex: João tem R$ 10 de saldo em sua conta;

portanto pode sacar este dinheiro.

Conceitos | Segurança de Dados

The CIA Triad

Conceitos | Segurança de Dados

Confidencialidade Acesso somente por pessoas autorizadas

Integridade Manter características do manipulador

Disponibilidade Sempre disponível para o uso legítimo

Autenticidade Garante que os dados não são falsos

O Início (1 | 3)

Os computadores atuais nasceram durante a Segunda Guerra Mundial. A partir de uma parceria entre a Marinha Americana e a Universidade de Harvard, foi criado o Harvard Mark 1.

Em 1984, foi lançado o Macintosh que foi o primeiro produto de sucesso a usar uma interface gráfica.

Foi na década de 80 que ocorreu a transição da citada ARPANET para o que atualmente se denomina Internet.

Em 1969, foi criada, nos Estados Unidos, a ARPANET que tinha como objetivo conectar as bases militares e os departamentos de pesquisa do governo americano.

O Início 2 | 3

A Internet que conhecemos hoje surgiu em 1990 na Organização Européia para Investigação Nuclear (CERN). Numa primeira fase, permitia apenas aos cientistas trocar dados.

E finalmente, em 1991, a Web foi disponibilizada mundialmente.

A Internet é uma rede de redes em escala mundial de milhões de computadores que permite o acesso a informações e todo tipo de transferência de dados.

O Início (3 | 3)

Atualmente estamos na quinta geração de computadores que tem como principal novidade a disseminação da Internet.

Atualmente é possível acessar a Internet por microcomputadores (incluindo notebooks, netbooks, tablets e smartphones), celulares, vídeo games e até geladeiras.

A conexão com a internet pode ser feita por linhas telefônicas fixas e móveis, por cabo, por satélite, por rádio e infra-vermelho.

Introdução (1 | 2)

Os computadores tornaram-se indispensáveis e hoje são utilizados nos mais diferentes lugares para desenvolver inúmeras atividades.

As novas tecnologias da informação, especialmente a Internet, impulsionaram e continuam impulsionando o processo de globalização econômica e cultural.

A internet faz parte da vida do homem moderno, atualmente é impossível ter um computador sem conectá-lo a grande rede mundial.

Introdução (2 | 2)

A internet tornou-se um dos maiores meios de divulgação e fonte de pesquisas, saciando a necessidade do homem pela busca de informações.

Através da internet trocamos, transmitimos, recebemos e adquirimos informações e dados o tempo todo.

Neste mundo contemporâneo, globalizado, interligado, pós-moderno e informatizado, surgiu uma nova forma de criminalidade, que convencionamos chamar de virtual, por se desenvolver no ambiente virtual da Internet, o ciberespaço.

Classificação dos Crimes Digitais

CRIMES DE INFORMÁTICA PRÓPRIOS: são crimes que só podem ser praticados através dos meios informáticos, não tendo outros meios possíveis.

CRIMES DE INFORMÁTICA IMPRÓPRIOS: são crimes que podem ser praticados de qualquer forma, os computadores são apenas mais um meio para a execução destes crimes.

Classificação dos CriminososSUJEITO ATIVO

Qualquer pessoa nos dias de hoje pode ser um sujeito ativo dos crimes praticados através da internet.

A constatação da identidade não é feita visualmente. Quando se está conectado á internet são necessários apenas alguns elementos identificadores como: endereço da máquina que envia as informações, endereço da máquina que recebe as informações, login e senha.

Dessa forma, o sujeito ativo do crime consegue camuflar seus dados reais e utilizar dados inverídicos.

Classificação dos Criminosos Dessa forma, o sujeito ativo do crime consegue

camuflar seus dados reais e utilizar dados inverídicos.

Geralmente, o agente envia um spam contendo um programa espião e a vítima ao recebê-lo executa-o, instalando o mesmo em seu computador. A partir desse momento, o criminoso tem acesso a dados sigilosos que permitirão a prática de vários delitos utilizando a identidade de sujeito passivo.

Perfil do Criminoso (1 | 4)

Segundo Luis Eduardo Nogueira Guimarães: “O perfil do criminoso, baseado em pesquisa empírica, indica jovens, inteligentes, educados, com idade entre 16 e 32 anos, do sexo masculino, magros, caucasianos, audaciosos e aventureiros, com inteligência bem acima da média e movidos pelo desafio de superação do conhecimento, além do sentimento de anonimato, que bloqueia seus parâmetros de entendimento para avaliar sua conduta como ilegal, sempre alegando ignorância do crime e, simplesmente, ‘uma brincadeira’. E mais, preferem ficção cientifica, música, xadrez, jogos de guerra e não gostam de esportes sendo que suas condutas geralmente passam por três estágios: o desafio, o dinheiro extra, e, por fim, os altos gastos e comercio ilegal.”

Perfil do Criminoso (2 | 4) Antigamente a maioria dos crimes era

praticada por profissionais da área de informática, principalmente programadores, vendo que na década de 70, o uso do computador era mais restrito e seu manuseio exigia um maior nível de conhecimento em informática.

Já na década atual, o perfil do sujeito ativo está mais variado, pois hoje o acesso ao computador é mais fácil do que três décadas atrás.

Perfil do Criminoso (3 | 4) Os criminosos eletrônicos são classificados e doutrinados

de acordo com o tipo de comportamento adotado e de acordo com o tipo de ações praticadas contra os sistemas de informação. Dessa forma, a classificação mais comum os divide em hackers e crackers.

HACKERS: são, em geral, invasores de sistemas, que atuam por espírito de competição, desafiando seus próprios conhecimentos técnicos e segurança de sistemas informatizados de grandes companhias e organizações governamentais.

CRACKERS: são aqueles que rompem a segurança de um sistema em busca de informações confidenciais com o objetivo de causar dano ou obter vantagens pessoais.

Perfil do Criminoso (4 | 4) Os verdadeiros criminosos são os crackers,

também conhecidos como “hackers do mal”, pois invadem sistemas, roubam arquivos, destroem discos rígidos, espalham vírus, fazem espionagem industrial de lavagem de dinheiro sujo internacional, etc.

Há ainda os “ciberpunks”, que desenvolvem vírus de computador perigosos com a finalidade de sabotar redes de computadores e em alguns casos propiciar a chamada DoS – Denial of Service, com a queda de sistemas de grandes provedores, impossibilitando o acesso de usuários ou causando prejuízos econômicos.

Identidades

Real• é• difícil de mudar• tempo linear• leis consolidadas• intuitiva• todos tem• vínculos persistentes• forte compromisso• autoral• única

Virtual• pode ser• fácil de mudar• tempo não linear• leis não consolidadas• não intuitiva• nem todos tem• vínculos voláteis• fraco compromisso• anônima• pode ser várias

Tipos de Crime (1 | 3)

CRIMES CONTRA A HONRA: São os crimes de calúnia, difamação e injúria. Os criminosos são incentivados pelo anonimato e os crimes podem ocorrer em chats, blogs, pelo envio de spams, através de publicações em homepages, dentre outros meios de postagem eletrônica. Estes crimes devem contar com a agravante, pela facilidade de divulgação proporcionada pela Internet.

CRIMES CONTRA A LIBERDADE INDIVIDUAL: São os crimes de ameaça, inviolabilidade de correspondência, divulgação de segredos, divulgação de segredos contidos ou não em sistemas de informação ou bancos de dados da Administração Pública.

Tipos de Crime (2 | 3)

CRIMES CONTRA O PATRIMÔNIO: Compreende os crimes de furto, extorsão, dano e estelionato.

CRIMES CONTRA OS COSTUMES: São os crimes de favorecimento à prostituição, de escrito ou objeto obsceno e a pedofilia. É muito comum encontrar páginas (sites) de pornografia e de prostituição, aliás, é muito difícil fazer uma pesquisa em um site de busca, sobre qualquer tema, em que não apareça pelo menos um resultado indicando um link sobre pornografia.

Tipos de Crime (3 | 3)

Além dos crimes citados, também podem ocorrer na Internet crimes de lavagem de dinheiro e invasões de privacidade, pixações em sites oficiais do governo, vandalismo, sabotagem, crimes contra a paz pública, a pirataria em geral, espionagem, lesões a direitos humanos (terrorismo, crimes de ódio, racismo, etc), destruição de informações, jogos ilegais, falsificação do selo ou sinal público, falsidade ideológica, modificação ou alteração não autorizada de sistema de informação, violação de sigilo funcional, fraude em concorrência pública, dentre inúmeros outros.

Problemas de Segurança

D

Fluxo Normal

F

Problemas de Segurança

D

I

Interceptação

Sigilo

Minha comunicação é confidencial?

F

Problemas de Segurança

Modificação

Integridade

Minha comunicação foi alterada?

F D

M

Problemas de Segurança

D F

Mascaramento

Autenticação

Com quem eu estou tratando?

M

Problemas de Segurança

D F

Alegações

Não-repúdio

Quem enviou? Quem recebeu? Quando isto ocorreu?

?

Não Enviei

!

Não Recebi!

Problemas de Segurança

D F

Ataque

Disponibilidade

Poderei me comunicar sempre que precisar?

A

Ameaças Digitais

Automação dos ataques Grandes quantidades de dados podem ser

rapidamente coletados, usados e abusados

Ação à distância Dificulta a investigação, perseguição e punição O atacante não precisa estar próximo da sua presa

Propagação da técnica Somente o primeiro atacante precisa ser habilidoso Os criminosos não precisam de habilidade para

terem sucesso

Tecnologia para Prevenção de Crimes Digitais

2010 | 11 Pedro Siena Neto

Aula 2 Técnicas de Prevenção

Modelo de Segurança

Segurança de um modelo distribuído Processos Canais de comunicação Objetos

Protegendo os objetos Perfis de acesso: quem está habilitado

para executar operações em um objeto Principal: a autoridade que tem algum tipo

de acesso ao objeto

Modelo de Segurança

Cliente Servidorsolicitação

resultado

Objeto

Perfis de

Acesso

Principal (usuário)

Principal (sevidor)

Rede

Ameaças 1

Ameaças aos principais Servidores: solicitar com uma identidade

falsa Clientes: receber resultado falso

Ameaças aos canais de comunicação Copiar, alterar ou injetar mensagens Salvar e retransmitir mensagens

Ameaças 2

Denial of Service (Negação de Serviço) Solicitação excessiva e sem propósito aos

serviços de rede resultando numa sobrecarga dos recursos físicos (banda de rede, capacidade de processamento do servidor, …)

Código acoplado Programa acoplado malicioso (cavalo de

tróia)

Técnicas de Defesa

Criptografia e Segredo Compartilhado Identificar um ao outro pelo segredo

compartilhado apenas pelas próprias partes

Criptografia é a base

Autenticação Provar a identidade fornecida pelos

solicitantes

Criptologia

"Cripto" vem do grego kryptós e significa oculto, envolto, escondido. Também do grego, graphos significa escrever, logos significa estudo, ciência e analysis significa decomposição. Daí, CRIPTOLOGIA é o estudo da escrita cifrada e se ocupa com a CRIPTOGRAFIA, a escrita secreta, e a CRIPTOANÁLISE, a quebra do segredo.

Esteganografia

Esteganografia vem do grego "escrita escondida“ e é o estudo das técnicas de ocultação de mensagens dentro de outras. Diferente da Criptografia, que a altera de forma a tornar seu significado original ininteligível. Enquanto a esteganografia oculta a existência da mensagem, a criptografia oculta o significado da mensagem. Muitas vezes, as duas são utilizadas em conjunto.

Técnicas de Segurança

Criptologia

Criptografia

Chave Simétr

ica

Chave Assimétrica(Públi

ca)

Criptoanalise

Objetivos

Confidencialidade: só o destinatário autorizado será capaz de extrair o conteúdo da mensagem da sua forma cifrada.

Integridade: o destinatário deve ser capaz de determinar se a mensagem foi alterada durante a transmissão.

Autenticação do remetente: o destinatário deve ser capaz de identificar o remetente e verificar que foi mesmo este quem enviou a mensagem.

Não-repúdio do emissor: não deverá ser possível ao emissor negar a autoria da mensagem enviada.

Algumas considerações

Nem todos os sistemas ou algoritmos criptográficos são utilizados para atingir todos os objetivos listados.

Existem algoritmos específicos para cada função.

Mesmo em sistemas criptográficos bem concebidos, bem implementados e usados adequadamente, alguns dos objetivos acima não são práticos (ou mesmo desejáveis) em algumas circunstâncias.

Criptografia

Clássica

Moderna

Quântica

Criptografia Clássica

± 1900 aC A história acontece numa vila egípcia perto do rio Nilo chamada Menet Khufu. No túmulo de Khnumhotep II, homem de grande importância, alguns hieróglifos foram substituídos por outros ...

± 1500 a.C.A criptografia da Mesopotâmia ultrapassou a egípcia, chegando a um nível mais avançado. O primeiro registro do uso da criptografia nesta região está numa fórmula para fazer esmaltes para cerâmica.

Criptografia Clássica

± 1500 aC Nesta época, mercadores assírios usavam "intaglios", que são peças planas de pedra com inscrições de símbolos que os identificavam.

Esta também foi a época em que culturas como a do Egito, China, Índia e da Mesopotâmia desenvolveram a esteganografia.

Esteganografia (Exemplos) Tatuagens com mensagens na cabeça de

escravos. Infelizmente era preciso esperar o cabelo crescer para esconder a mensagem. A decifração era feita no barbeiro...

Marcas na parte interna de caixas de madeira usadas para transportar cera. As marcas eram escondidas com cera nova. Para decifrar, bastava derreter a cera.

Mensagens colocadas dentro do estômago de animais... e também de humanos.

Criptografia Clássica

600 a 500 a.C. Escribas hebreus, escrevendo o Livro de Jeremias, usaram a cifra de substituição simples pelo alfabeto reverso conhecida como ATBASH. As cifras mais conhecidas da época são o ATBASH, o ALBAM e o ATBAH, as chamadas cifras hebraicas.

Criptografia Clássica

600 a 500 a.C. O scytalae espartano ou bastão de Licurgo era um bastão de madeira ao redor do qual se enrolava firmemente uma tira de couro ou pergaminho, longa e estreita. Escrevia-se a mensagem no sentido do comprimento do bastão e, depois, desenrolava-se a tira com as letras embaralhadas.

Criptografia Clássica

século 400 a.C. Textos gregos antigos, de Enéas, o Tático, descrevem vários métodos de ocultar mensagens. Este cientista militar e criptógrafo inventou um telégrafo hidro-ótico, um sistema de comunicação à distância.

± 300 a.C.Artha-sastra, um livro atribuído a Kautilya, foi escrito na Índia. Cita diversas cifras criptográficas e recomenda uma variedade de métodos de criptoanálise para obter relatórios de espionagem.

Criptografia Clássica

± 300 a.C.Euclides de Alexandria, matemático grego que viveu aproximadamente de 330 a.C. a 270 a.C., compilou e sistematizou o que havia na época sobre geometria e teoria dos números.

Erastótenes de Cirene, filósofo e geômetra grego, viveu de 276 a.C. a 194 a.C. Conhecido como criador de um método para identificar números primos, chamado de crivo de Erastótenes.

Criptografia Clássica

± 200 a.C. Políbio, um historiador grego nascido em Megalópolis e que viveu de 204 a.C. a 122 a.C., escreveu vários livros sobre o Império Romano. Descreveu também uma cifra de substituição que converte os caracteres da mensagem clara em cifras que, apesar de não ser da sua autoria, ficou conhecida como Código de Políbio.

Criptografia Clássica

± 130 a.C. Em Uruk, na região do atual Iraque, era comum os escribas transformarem seus nomes em números dentro do emblema que identificava seus trabalhos. A prática, provavelmente, era apenas para divertir os leitores e não estava relacionada à segurança.

Criptografia Clássica

50 a.C. O imperador romano Júlio César usou uma cifra de substituição para aumentar a segurança de mensagens governamentais. César alterou as letras desviando-as em três posições - A se tornava D, B se tornava E, etc. Às vezes, César reforçava sua cifragem substituindo letras latinas por letras gregas. O Código de César é o único da Antiguidade que continua sendo usado até hoje. Atualmente denomina-se qualquer cifra baseada na substituição cíclica do alfabeto de Código de César.

Criptografia Clássica

79 d.C. A fórmula Sator ou quadrado latino é encontrado em escavações feitas em Pompéia, inscrito numa coluna. Ocorre também num amuleto de bronze, originário da Ásia Menor, datado do século V. As palavras rotas arepo tenet opera sator parecem ter o efeito mágico de nunca desaparecem... persistem até hoje como um enigma de transposição.

Criptografia Clássica

A criptografia clássica, ou pré-computacional, era formada por um conjunto de métodos de substituição e transposição de caracteres de uma mensagem que pudessem ser executados manualmente (ou até mesmo mentalmente) pelo emissor e pelo destinatário da mensagem.

.

Criptografia Moderna

Enigma é o nome por que é conhecida uma máquina eletro-mecânica de criptografia com rotores, utilizada tanto para a criptografar como para a descriptografar mensagens secretas, usada em várias formas na Europa a partir dos anos 1920. A sua fama vem de ter sido adaptada pela maior parte das forças militares alemãs a partir de cerca de 1930. O código foi, no entanto, decifrado, e a informação contida nas mensagens que ele não protegeu é geralmente tida como responsável pelo fim da Segunda Guerra Mundial pelo menos um ano antes do que seria de prever.

Criptografia Moderna

A era da criptografia moderna começa realmente com Claude Shannon, possivelmente o pai da criptografia matemática. Em 1949 ele publicou um artigo Communication Theory of Secrecy Systems com Warren Weaver. Este artigo, junto com outros de seus trabalhos que criaram a área de Teoria da Informação estabeleceu uma base teórica sólida para a criptografia e para a criptoanálise. Depois disso, quase todo o trabalho realizado em criptografia se tornou secreto, realizado em organizações governamentais especializadas (como o NSA nos Estados Unidos). Apenas em meados de 1970 as coisas começaram a mudar.

Criptografia Moderna

A era da criptografia moderna começa realmente com Claude Shannon, possivelmente o pai da criptografia matemática. Em 1949 ele publicou um artigo Communication Theory of Secrecy Systems com Warren Weaver. Este artigo, junto com outros de seus trabalhos que criaram a área de Teoria da Informação estabeleceu uma base teórica sólida para a criptografia e para a criptoanálise. Depois disso, quase todo o trabalho realizado em criptografia se tornou secreto, realizado em organizações governamentais especializadas (como o NSA nos Estados Unidos). Apenas em meados de 1970 as coisas começaram a mudar.

Criptografia Moderna

Em 1976 aconteceram dois grandes marcos da criptografia para o público. O primeiro foi a publicação, pelo governo americano, do DES (Data Encryption Standard), um algoritmo aberto de criptografia simétrica, selecionado pela NIST em um concurso onde foi escolhido uma variante do algoritmo Lucifer, proposto pela IBM. O DES foi o primeiro algoritmo de criptografia disponibilizado abertamente ao mercado.

Criptografia Simétrica

Os algoritmos de chave-simétrica (também chamados de Sistemas de Chaves Simétricas, criptografia de chave única, ou criptografia de chave secreta) são uma classe de algoritmos para a criptografia, que usam chaves criptográficas relacionadas para a decifragem e a cifragem. A chave de criptografia é relacionada insignificativamente à chave de decifração, que pode ser idêntica ou ter uma simples transformação entre as duas chaves. As chaves, na prática, representam um segredo, compartilhado entre duas ou mais partes, que podem ser usadas para manter um canal confidencial de informação. Usa-se uma única chave, compartilhada por ambos os interlocutores, na premissa de que esta é conhecida apenas por eles.

Criptografia Simétrica

Cifragem DecifragemTexto

Aberto

ChaveK

Texto Aberto

P P

Canal seguro

K

TextoCifrado

c

Ana Bob

Uso de uma única chave:CifragemDecifragem

Algoritmos rápidosChaves Curtas

Algoritmos:DES, AES, RC4, IDEA, etc.

Criptografia Assimétrica

A criptografia de chave pública ou criptografia assimétrica é um método de criptografia que utiliza um par de chaves: uma chave pública e uma chave privada. A chave pública é distribuída livremente para todos os correspondentes via e-mail ou outras formas, enquanto a chave privada deve ser conhecida apenas pelo seu dono.

Num algoritmo de criptografia assimétrica, uma mensagem cifrada (encriptada é um termo incorreto) com a chave pública pode somente ser decifrada pela sua chave privada correspondente.

Criptografia Assimétrica

Os algoritmos de chave pública podem ser utilizados para autenticidade e confidencialidade. Para confidencialidade, a chave pública é usada para cifrar mensagens, com isso apenas o dono da chave privada pode decifrá-la. Para autenticidade, a chave privada é usada para cifrar mensagens, com isso garante-se que apenas o dono da chave privada poderia ter cifrado a mensagem que foi decifrada com a 'chave pública'.

Assimétrica | Confidencialidade

Cifragem DecifragemTexto

Aberto

Par deChaves

Texto Aberto

P P

KRB

TextoCifrado

c

Chave Pública de Bob

KUB Chave Privada de Bob

Ana Bob

Sigilo através de criptografia por

chaves públicasUso de duas chaves distintas:

Uma para cifragemOutra para decifragem

Algoritmos: RSA, El Gamal

Algoritmos lentosChaves longas

Assimétrica | Autenticidade

Cifragem DecifragemTexto

Aberto

Par deChaves

Texto Aberto

P P

KUA

TextoCifrado

c

Chave Privada de Ana

KRA Chave Pública de Ana

Ana Bob

Assinatura digital através de criptografia por chaves

públicas

•Algoritmos: RSA, DSS

Assimétrica | Ambos

Cifragem DecifragemTexto

Aberto

Par deChaves

Texto Aberto

PP

KUA

TextoCifrado

C1

Chave Privada de Ana

KRA

Chave Pública de Ana

Ana Bob

Sigilo e Assinatura Digital através de criptografia por chaves

públicas

Cifragem

C1

Decifragem

C2

Par deChaves

Chave Pública de Bob

KUBKRB

Chave Privada de Bob

C2

ICP

ICP é o acrônimo de Infraestrutura de Chaves Públicas. Uma Infraestrutura de Chaves Públicas é um órgão ou iniciativa pública ou privada que tem como objetivo manter uma estrutura de emissão de chaves públicas, baseando-se no princípio da terceira parte confiável, oferecendo uma mediação de credibilidade e confiança em transações entre partes que utilizam certificados digitais. A principal função do ICP é definir um conjunto de técnicas, práticas e procedimentos a serem adotados pelas entidades a fim de estabelecer um sistema de certificação digital baseado em chave pública.

ICP

A infra-estrutura de chaves públicas do Brasil, definida pela Medida Provisória Nº 2.200-2, de 24 de Agosto de 2001, é denominada Infra-Estrutura de Chaves Públicas Brasileira, ou ICP-Brasil.

Assinatura Digital

Em criptografia, a assinatura digital é um método de autenticação de informação digital tipicamente tratada como análoga à assinatura física em papel. Embora existam analogias, existem diferenças importantes. O termo assinatura eletrônica, por vezes confundido, tem um significado diferente: refere-se a qualquer mecanismo, não necessariamente criptográfico, para identificar o remetente de uma mensagem eletrônica.

Assinatura Digital

A utilização da assinatura digital providencia a prova inegável de que uma mensagem veio do emissor. Para verificar este requisito, uma assinatura digital deve ter as seguintes propriedades:

autenticidade - o receptor deve poder confirmar que a assinatura foi feita pelo emissor;

integridade - qualquer alteração da mensagem faz com que a assinatura não corresponda mais ao documento;

não repúdio ou irretratabilidade - o emissor não pode negar a autenticidade da mensagem.Essas características fazem a assinatura digital ser fundamentalmente diferente da assinatura manuscrita.

Assinatura Digital

Certificado Digital

Um certificado digital é um arquivo de computador que contém um conjunto de informações referentes a entidade para o qual o certificado foi emitido (seja uma empresa, pessoa física ou computador) mais a chave pública referente a chave privada que acredita-se ser de posse unicamente da entidade especificada no certificado.

Certificado Digital

Um exemplo de uso de certificados digitais vem dos bancos. Quando uma pessoa acessa sua conta corrente pela internet, certificados digitais são usados para garantir ao cliente que ele está realizando operações financeiras com o seu banco. Se o usuário clicar no ícone correspondente no navegador de internet, poderá obter mais detalhes do certificado. Se algum problema ocorrer com o certificado - prazo de validade vencido, por exemplo, o navegador alertará o usuário.É importante frisar que a transmissão de certificados digitais deve ser feita através de conexões seguras, como as que usam o protocolo Secure Socket Layer (SSL), que é próprio para o envio de informações criptografadas.

Criptografia | Certificado Digital

Hierarquias

Para que possa ser aceito e utilizado por pessoas, empresas e governos, os certificados digitais precisam ser emitidos por entidades apropriadas. Sendo assim, o primeiro passo é procurar uma Autoridade Certificadora (AC) ou uma Autoridade de Registro (AR) para obter um certificado digital.

Hierarquias

Uma AC tem a função de associar uma identidade a uma chave e "inserir" esses dados em um certificado digital. Para tanto, o solicitante deve fornecer documentos que comprovem sua identificação. Já uma AR tem uma função intermediária, ela pode solicitar certificados digitais a uma AC, mas não pode emitir esse documento diretamente.

Hierarquias

É conveniente que cada nação conte com uma Infra-estrutura de Chaves Públicas (ICP) ou, em inglês, Public Key Infrastructure (PKI), isto é, um conjunto de políticas, técnicas e procedimentos para que a certificação digital tenha amparo legal e forneça benefícios reais à sua população. O Brasil conta com a ICP-Brasil para essa finalidade.

Hierarquias

A ICP-Brasil trabalha com uma hierarquia onde a AC-Raiz, isto é, a instituição que gera as chaves das ACs e que regulamenta as atividades de cada uma, é o Instituto Nacional de Tecnologia da Informação (ITI).

Tipos de Certificados

A ICP-Brasil oferece duas categorias de certificados digitais: A e S, sendo que cada uma se divide em quatro tipos: A1, A2, A3 e A4; S1, S2, S3 e S4.

A categoria A é direcionada para fins de identificação e autenticação, enquanto que o tipo S é direcionado a atividades sigilosas.

Tipos de Certificados

A1 e S1: geração das chaves é feita por software; chaves de tamanho mínimo de 1024 bits; armazenamento em dispositivo de armazenamento (como um HD); validade máxima de um ano;

A2 e S2: geração das chaves é feita por software; chaves de tamanho mínimo de 1024 bits; armazenamento em cartão inteligente (com chip) ou token (dispositivo semelhante a um pendrive); validade máxima de dois anos;

Tipos de Certificados

A3 e S3: geração das chaves é feita por hardware; chaves de tamanho mínimo de 1024 bits; armazenamento em cartão inteligente ou token; validade máxima de três anos;

A4 e S4: geração das chaves é feita por hardware; chaves de tamanho mínimo de 2048 bits; armazenamento em cartão inteligente ou token; validade máxima de três anos.

Os certificados A1 e A3 são os mais utilizados, sendo que o primeiro é geralmente armazenado no computador do solicitante, enquanto que o segundo é guardado em cartões inteligentes (smartcards) ou tokens protegidos por senha.

Tipos de Certificados

e-CPF e e-CNPJ

Falar de certificação digital no Brasil frequentemente remete a duas importantes iniciativas: o e-CPF e o e-CNPJ. O primeiro é, essencialmente, um certificado digital direcionado a pessoas físicas, sendo uma espécie de extensão do CPF (Cadastro de Pessoa Física), enquanto que o segundo é um certificado digital que se destina a empresas ou entidades, de igual forma, sendo um tipo de extensão do CNPJ (Cadastro Nacional da Pessoa Jurídica).

SSL / TLS

A utilização do Certificado Digital para servidor web em conjunto com a tecnologia SSL (Secure Socket Layer), também conhecida como TLS (Transport Layer Security), possibilita criptografar e proteger as informações transmitidas pela Internet, garantindo uma conexão segura entre o navegador do usuário e o servidor web.

IPSec

Utiliza criptografia simétrica

Fornece sigilo e integridade dos dados

Modo transporte é mais eficiente

Modo túnel produz uma Rede Virtual Privada (VPN)

Criptografia Quântica

O desenvolvimento da técnica reunindo o conceito de criptografia e a teoria quântica é mais antigo do que se imagina, sendo anterior à descoberta da criptografia de Chave Pública. Stephen Wiesner escreveu um artigo por volta de 1970 com o título: "Conjugate Coding" que permaneceu sem ser publicado até o ano de 1983. Em seu artigo, Wiesner explicava como a teoria quântica poderia ser usada para unir duas mensagens em uma única transmissão quântica na qual o receptor poderia decodificar cada uma das mensagens porém nunca as duas simultaneamente devido à impossibilidade de violar uma lei da natureza (o Princípio de Incerteza de Heisenberg).

Criptografia Quântica

Utilizando-se fótons, a Criptografia Quântica permite que duas pessoas escolham uma chave secreta que não pode ser quebrada por qualquer algoritmo, em virtude de não ser gerada matematicamente, mesmo se utilizando um canal público e inseguro. É interessante notar a mudança que se processará nos métodos criptográficos que, atualmente, estão amparados na Matemática mas, com a introdução desse conceito de mensagens criptografadas por chaves quânticas passam a ter na Física sua referência.

Tecnologia para Prevenção de Crimes Digitais

2010 | 11 Pedro Siena Neto

Aula 3Tecnologias | Auditoria

Segurança de Dados | Natureza

Física

Lógica

Segurança Física | Problemas Catástrofes (incêndio, enchentes, etc)

Roubos de equipamentos

Falta de energia

Redundância (pane de equipamentos, quebra de fibra ótica, etc)

Acesso indevido

Segurança Física | Soluções

Controle de acesso

Temperatura e clima

Energia

Detecção e combate a catástrofes

Monitoramento

Segurança Física | Datacenter

Segurança Lógica | Problemas

Ataques (hackers, crackers, etc)

Códigos maliciosos

Captura e/ou quebra de senhas

Perda ou corrupção dos dados

Segurança Lógica | Soluções Políticas de segurança e privacidade

Firewall

IPS (sistemas de prevenção de intrusos)

IDS (sistemas de detecção de intrusos)

Criptografia

Certificação

Assinatura digital

Segurança Lógica | Soluções Backup

Alta disponibilidade

Redundância

Antivírus

Antispam

Segurança em redes sem fio

Filtro de conteúdo

Segurança Lógica | Firewall Controle de MAC Address

Acesso autenticado

VPN

Regras de acesso

# regra

origem destino protocolo porta de origem

porta de destino

ação

#1 qualquer interno TCP qualquer 23 bloqueia

#2 IP x.x.x.x

interno TCP qualquer 23 permite

#3 Interna qualquer TCP qualquer 21 Permite

#4 qualquer interna TCP qualquer 21 bloqueia

Segurança Lógica | Wireless WEP

autenticação fraca senhas estáticas pouco escalável

WPA Encriptação forte (PSK/TKIP) Autenticação forte (EAP-FAST, EAP-FAST,

PEAP) WPA2

Encriptação mais forte (AES de até 256bits)

Segurança Lógica | HA

Espelhamento de disco RAID

Cluster de alta disponibilidade

Segurança Lógica | Backup

Freqüência Ex: Diário, Semanal, Mensal, Anual

Retenção Ex: 7 dias, 4 semanas, 12 meses, 10

anos

Segurança Lógica | Backup

CD/DVD 2 a 5 anos

Fita Magnética 5 anos

Microfilmagem 10 anos

SSD (Pen-drive) 0,1 a 1 milhão de

ciclos Ou até receber

uma voltagem errada

Disco rígido 5 a 10 anos

Segurança Integrada

Cartão de proximidade

Token

Chaves físicas

Atitudes de Segurança

Reativa Resposta a incidentes Investigação Aplicação de sanções

Pró-ativa Planejamento Normalização Infraestrutura segura Educação, treinamento Auditoria

Evitando roubo de identidade

De acordo com as estatísticas do relatório de 01/2006 do Federal Trade Commission, as organizações receberam mais de 685,000 reclamações de fraude de consumidores no último ano, sendo que 37% representam casos de roubo de identidade.

Estima-se que o número verdadeiro de casos seja muito maior; fightidentitytheft.com estima que 10 milhões de americanos já foram vitimados, a um custo total de 50 bilhões de dolares.

Evitando roubo de identidade Compre apenas em “sites” seguros

Some people think buying things online puts them at inordinate risk of identity theft—yet those same people think nothing of allowing a waiter or retail store clerk to whisk their credit card away to some back office where they could easily record the numbers and information or even make a "white card" copy of its magnetic strip. The key to safe online financial transactions is to shop only at reputable Web sites and to be sure transactions are secured

with SSL encryption (which you can recognize by the little "locked" icon at the bottom of most Web browsers).

One caveat, though: You want to deal with sites that use encryption so someone can’t steal your payment information as it passes across the Internet—but scam sites can encrypt their transactions too. So we’re back to the basic: Buying from Amazon.com or the Microsoft Web site is safer than ordering from Joe’s Homepage (unless you know who Joe is and that he can be trusted).

Evitando roubo de identidade Proteja sua informação pessoal

Online or off, it’s not just your credit card numbers that you need to guard diligently. In some cases, just a name is enough for an ID thief to gather much more information about you. If you have a name that’s common, like John Smith, it won’t be so easy, but if your name is unusual, so that you’re the only one with that name in your particular city or region, an ID thief may be able to find out your address, phone number, and date of birth through an online “people search” service, such as

Zabasearch. Then with that information, if you own your home and live in a county that puts its property records on the Web, the thief can go to that site and find out how much your home is worth, getting a good idea of whether you’re a good target. Some tax districts even include a photo of your home, which may show your car sitting in the driveway with license plate number displayed. Be aware of your online presence and opt out of as many directories and databases as possible.

Evitando roubo de identidade Proteja PINs e senhas

Make sure you have strong passwords for your online banking services, electronic bill-paying, and other financial accounts. Don’t use easily discovered passwords such as your mother’s maiden name, your social security number, or

your birth date. A good password is long (at least eight characters; 14 is better) and complex, containing a mixture of upper- and lowercase alphabetic characters, numeric digits, and symbols and not containing any words found in the dictionary. PINs are often limited to four numeric digits. If you have a choice in creating the PIN, make sure the numbers are random and not easy to guess (for example, don’t use your street number or the last four digits of your SSN).

It goes without saying that you shouldn’t write down your passwords

and PINs, and you should never share them with anyone else. If it’s absolutely necessary to do so (for example, in an emergency situation where you need a friend to withdraw money from an ATM with your card), change the password or PIN immediately afterward.

Evitando roubo de identidade Proteja dados sensíveis no seu computador

If you have any personal or financial information stored on your computer, use Windows EFS or a third-party encryption program to protect it. Update your virus software regularly and use a firewall to prevent intrusions. Keep your operating system and applications updated, especially with critical security patches. Use an anti-spyware program. Don’t use file-sharing programs or visit Web sites that are more likely to contain dangerous code, such as hacker sites, porn sites or warez (pirated software) sites. Don’t open attachments from people you don’t trust and don’t click on links in strangers’ e-mail messages.

Don’t put sensitive information on laptops, handheld computers, or other portable devices unless absolutely necessary. If you need to access such data while on the go, store it on a flash drive or memory card and carry the storage device separately from the computer. Don’t set your computer up to log automatically, especially portable computers.

If you sell or give away an old computer, first use an overwriting program to get rid of the information on the drive (just deleting or even formatting is not enough), or even better, remove and destroy the hard disk and let the new owner install another one.

Evitando roubo de identidade Use uma identidade alternativa para surfar na Web

Many savvy Internet users have learned that it’s smart to have multiple e-mail addresses and to use an alternate (for example, an account with a Web mail service such as Hotmail, Yahoo, or Gmail) when you need to enter information to access a site. If you’re just casually surfing and not conducting business, there’s no reason to give any site your real e-mail address or even your real name, address, and other personal information.

Some sites require you to register (at no charge) to access or post to the site. And some of these sites sell the lists of registered users for marketing purposes. An identity thief can easily pose as an advertiser and buy the same list. Having several alternate identities can help you track down what sites are selling your info. For example, Jeff might use the name Jeff Johns when he registers on a site called John’s Fishing Gear, and the name Jeff Booker when he registers on a site called the Big Book Place, and use e-mail addresses associated with those names (jjohns@gmail.com and jbooker@hotmail.com, for example). Now when he starts getting tons of spam addressed to his jbooker account, he knows the Big Book Place is the one who sold his info.

Evitando roubo de identidade Aprenda a reconhecer “phishing scams”

Phishing e-mails are a particularly insidious form of spam. It’s annoying enough to have your mailbox fill up with junk mail from legitimate companies, but phishers aren’t really selling anything; they’re just “phishing” for your credit or debit card information or bank account numbers, or other personal information they can use.

Examples of phishing messages include those purporting to be from your bank or credit card company or a legitimate site with which you do business, such as eBay, notifying you that you must click a link to update your account information. Many even claim they’re asking you to do this to prevent your account from being closed or used fraudulently.

Phishing messages can often be detected by the fact that links go to a different URL from the one that appears in the message. For example, if you hover over “www.ebay.com” in the message, you might see that the hyperlink actually takes you to www.scammersite.com/ebay. A good rule of thumb is to never respond to any e-mail message asking you to return personal information. Instead, call or write directly to the company that the message purports to be from.

Evitando roubo de identidade Use dinheiro

There are lots of ways to pay for your purchases these days, but some are safer than others. When it comes to protecting your identity, good old-fashioned cash is still king. Unfortunately, there’s no way yet to insert a twenty dollar bill into a slot in your computer to make a purchase.

Often, you have the choice to pay for online purchases by credit card, debit card, electronic check, or direct bank account withdrawal. All of these require you to submit precious information that an ID thief would love to get hold of. None of these types of information is more or less likely to be stolen, but there are a couple of advantages to paying by credit card. First, many sites require that when you pay by credit card, you enter the security code (the three-digit number on the back of your card). This adds a layer of protection, since a fraudster who obtained your credit card number from a receipt or other source would not know this number.

More important, if you do become a victim of credit card fraud, the law limits your liability to $50. You don't have this protection with debit cards—they work like paying cash, in that once the money’s gone, it’s gone.

Checks also contain a huge amount of information for scammers: your name, address, and phone number, and many people have their driver’s license number printed on the check. And of course your bank account number, the bank’s routing numbers, etc., are also printed on the check. A clever scammer can create new checks on your account and forge your signature or use direct withdrawal to take money from your account.

Evitando roubo de identidade Saia de listas de marketing

Keeping “preapproved” credit offers out of the hands of identity thieves by using safe mail management practices is good; stopping them from being sent to you altogether is even better. (After all, even if you use a PO box or locked mailbox, it’s possible for a dishonest postal employee to intercept them.) You can contact the three major credit reporting bureaus (Experian, Equifax, and Tran ) individually to have your name removed from their marketing lists. Or call 888-5OPTOUT (888-567-8688). This won’t stop all the offers, but it will reduce the number.

Evitando roubo de identidade Verifique seu extrato de cartão de crédito

Identity theft can go undetected for a long time. Someone’s out there, using your name and social security number to open credit accounts or apply for loans, but because he or she is diverting correspondence to a different address, you may not know until the collection agencies start hunting you down. By that time, thousands of dollars of charges may have accumulated. One way to keep an eye on what’s going on with your account is to check your credit report regularly.

New federal laws require that the credit bureaus provide you with one free credit report each year. You can space them out, getting one from Experian in the spring, one from Trans Union in the summer, and one from Equifax in the fall, for example, to better monitor your credit activity without paying extra. Look for inquiries or new accounts you didn’t authorize. The sooner you find out you’re an ID theft victim, the easier it will be to repair the damage. You can also order free reports through www.annualcreditreport.com.

Evitando roubo de identidade Reporte tentativas de roubo de identidade

If you’re a victim of identity theft, report it to your local police department. You may need a copy of the police report to submit to creditors as proof that you were a crime victim. Contact the fraud departments of the three credit bureaus and put a fraud alert on your account; this will require creditors to contact you before opening a new account in your name or making changes to your existing accounts (such as sending your bank statements to a new address). Close the accounts that have been compromised.

File a complaint with the Federal Trade Commission (FTC) to go into their database, which is used by law enforcement agencies in investigating ID theft. You can file this report online.

Protegendo seus dados

Faça back up freqüentemente Use segurança a nível de arquivo Proteja documentos com senhas Use criptografia de disco Faça uso da infraestrutura de chave

públicas Esconda dados com esteganografia Proteja dados em trânsito com IPSec Torne seguro as transações “wireless” Use gerenciamento de perfis para manter o

controle

Auditoria | Propósito

Propósito

An IT audit is different from a financial statement audit. While a financial audit's purpose is to evaluate whether an organization is adhering to standard accounting practices, the purposes of an IT audit are to evaluate the system's internal control design and effectiveness. This includes but is not limited to efficiency and security protocols, development processes, and IT governance or oversight. The goal is to evaluate the organization's ability to protect its information assets and properly dispense information to authorized parties. The IT audit's agenda may be summarized by the following questions: Will the organization's computer systems be available for the business at all

times when required? (Availability) Will the information in the systems be disclosed only to authorized users?

(Confidentiality) Will the information provided by the system always be accurate, reliable, and

timely? (Integrity) The IT audit focuses on determining risks that are relevant to information

assets, and in assessing controls in order to reduce or mitigate these risks. By implementing controls, the effect of risks can be minimized, but it cannot completely eliminate all risks.

Tecnologia para Prevenção de Crimes Digitais

2010 | 11 Pedro Siena Neto

Aula 3Tecnologias | Auditoria

Auditoria | O que faz?

?

Avalia programas, projetos, e/ou sistemas, através dos entregáveis publicados e acordados na corporação , e a adoção destes na operação.

Auditoria x Consultoria

AuditoriaSe limita a encontrar os “gaps” entre o definido e acordado na corporação contra a “praxis” da operação

ConsultoriaPropõe melhorias, soluções, mudanças para eliminar estes “gaps”

Auditoria

Auditoria precisa ser independente

Auditoria | Processo

Processo de Auditoria em Tecnologia da Informação

Planejamento

Estudo e definicão de controles

Teste e avaliação de controles

Reportologia

Acompanhamento

Auditoria | Foco

Negócio

Pessoas

Processos

Tecnologia | Sistemas

Departamento

“Compliances”

Negócio | Objetivo

Perpetuação do Negócio

Perda de receita

Descontrole de custos

Comprometimento da Imagem

Negócio | Roteiro

Entendimento

Missão

Visão

Valores

MVV publicado x MVV práxis

Negócio | Roteiro

Análise do Ambiente Externo

Segmento de Atuação

Agressividade

Barreiras de Entrada

Serviços x Produtos

Negócio | Roteiro

Análise do Ambiente Interno

Clima Corporativo Competitividade

Colaboração

Rotatividade

Negócio | Roteiro

Parâmetros Estratégicos

Tendências de Mercado SWOT

Análise de Portfolio (BCG)

Análise do Caos

Negócio | Roteiro

Tendências de Mercado

Tendência Força MomentoBusiness Intelligence +++++ < 12 meses

BPM | SOA ++ 1 a 2 anos

Cloud Computing +++ 2 anos

Virtualization ++++ …

Cloud Security ++ …

Corporate Social Networks +++ …

Green IT ++ …

Mobile Payment + …

Negócio | Roteiro

SWOT

Cada Oportunidade com cada Ponto Forte: buscando Alavancas Estratégicas que uma

vez aproveitadas poderão conferir a

empresa uma vantagem competitiva.

Cada Oportunidade com cada Ponto Fraco: buscando

identificar restrições a serem atacadas para o

aproveitamento de oportunidades.

Cada Ameaça com cada Ponto Forte:

verificando vulnerabilidades que diminuirão o potencial de uma força interna e propondo de ações que

enfrentem a ameaça em questão.

Cada Ameaça com cada Ponto Fraco:

identificando focos de problemas que precisam ser

enfrentados através de ações defensivas ou

fortalecedorJr.

Problem Vulnerability LeverRestriction

Strengths Weaknesses

OpportunitiesThreats

Negócio | Roteiro

Análise de Portfolio

Negócio | Roteiro

Análise do Caos

Negócio | Roteiro

Ações Estratégicas

Carteira de Projetos

Orçamento (CAPEX | OPEX)

Negócio | Roteiro

Identificação das Vantagens Competitivas

na Corporação

nos Produtos/Serviços

nos Processos

nas Pessoas

Negócio | Roteiro

na Corporação

Valores

Cultura

Ambiente

Forma de Reconhecimento

Negócio | Roteiro

nos Produtos/Serviços

Receitas | Fórmulas

Metodologias

Formação de Preços

Carteira de Clientes

Negócio | Roteiro

nos Processos

Marketing | Vendas

Seleção e Retenção de Profissionais

Procurement (Compras / Produção)

Aquisição de Empresas

Negócio | Roteiro

nas Pessoas

Conhecimento não estruturado (“feeling”)

Relacionamentos (“networking”)

Conhecimento Empírico (“know how”)

Negócio | Roteiro

Detalhamento das Vantagens Competitivas

(Questões do Jornalista) Quem? O quê? Quando? Onde? Por quê? Como?

Negócio | Resultados

Relatório Final

“As is” O que deve ser protegidoO que não deve ser protegido

“Issues”Por quê deve ser protegidoQuando deve ser protegido

“To be”Onde deve ser protegidoComo deve ser protegidoQuem deve ter acesso

Negócio | Resultados

Próximos Passos

Revisão/Implementação de Rotinas

Revisão/Implementação de Políticas

Carteira de Projetos

Priorização e Execução dos Projetos

Pessoas | Objetivo

Preservar ambiente de confiança

Nível do profissional

Não continuidade do profissional

Concentração de conhecimento

Avaliação da idoneidade

Pessoas | Roteiro

Entendimento

Organograma Formal

Organograma de Influência

Posicionamento do Profissional (em ambos)

Descrição de Trabalho (“Job Description”)

Carreira (Histórico & Projeção)

Avaliações Formais

Pessoas | Roteiro

Entrevistas

Subordinados

Pares

Superiores

Recursos Humanos

Pessoas | Roteiro

Acesso à Tecnologia da Informação

Sistemas Corporativos Pastas de Arquivos

Correio Eletrônico

Vídeo & Voz

Pessoas | Roteiro

Avaliação

Perfil de Acesso Histórico de Movimentações

Presença em Redes Sociais, Blog, Twitter,

Monitoração de Estação em Tempo Real

Pessoas | Resultados

Relatório Final

“As is” O que é acessadoO que não é acessado

“Issues”Por quê deve ou não ser acessadoQuando deve ser acessadoO que é acessado e não deveria ser

“To be”Onde deve ser acessadoComo deve ser acessado

Pessoas | Resultados

Relatório Final

Aderência do profissionalaos valores da empresaàs políticas da empresa

Exposição ao risco ao negócio em função

de desconhecimentode treinamento/capacitaçãoda ausência de ferramentasda ausência de políticas

Processos | Objetivo

Avaliar risco de exposição a vazamentos

Importância do processo

Risco do processo ser copiado por outros

Proteção dos entregáveis do processo

Dependência de profissionais específicos

Processos | Roteiro

Entendimento

Fluxo de trabalho do processo

Entregáveis durante a execução do processo

Armazenamento dos entregáveis

Perfis de acesso dos profissionais envolvidos

Responsabilidade dos profissionais envolvidos

Processos | Roteiro

Entendimento

Sistemas envolvidos no processo

Registro de informações fora dos sistemas

Razão do não-registro de informações

Exposição dos sistemas a outros

Disseminação da política de uso de sistemas

Processos | Resultados

Relatório Final

“As is” Mapeamento do Processo

“Issues”ConfidencialidadeIntegridadeDisponibilidade

“To be”Correções no processoConstrução de indicadores

Tecnologia | Objetivo

Avaliar sobre os critérios de

Confidencialidade

Disponibilidade

Integridade

Tecnologia | Roteiro

Entendimento

Arquitetura de hardware

Arquitetura de software

Tecnologia | Roteiro

Tecnologia | Roteiro

Tecnologia | Roteiro

Software

Tecnologia | Conceito

Fontes

Geram informação

Pessoas

Máquinas

Tecnologia | Conceito

Clientes

Consomem informação

Pessoas

Máquinas

Tecnologia | Conceito

Repositórios

Armazenam informações

Estruturados

Não Estruturados

Tecnologia | Conceito

Canais

Transmitem informações

Com fios (cabos)

Sem fios (wifi, 3G, …)

Transacional

Batch

Tecnologia | Conceito

Formato da Informação

Digital

Analógico

Tecnologia | Conceito

Tipo de Arquivos

Texto

Voz

Vídeo

…

Tecnologia | Conceito

Tipos de Publicações

Árvore de diretórios

Portal

Site

Blog

Rede Social

Tecnologia | End to End

Repositório

Fonte

Consumid

orCanal Canal

Criação Transferência Armazenamento

Transferência Recebimento

Tecnologia | End to End

PortalFont

e

Consumid

orCanal Canal

Criação Publicação Armazenamento

Transferência Acesso

Tecnologia | Resultados

Relatório Final

“As is” Mapeamento do Canal (end-to-end)

“Issues”ConfidencialidadeIntegridadeDisponibilidade

“To be”MelhoriasAvaliação de Alternativas

Tecnologia | Resultados

Auditoria | Profissionais

Certificações Certified Information System Auditor (CISA) Certified Internal Auditor (CIA) Certification and Accreditation Professional (CAP) Certified Computer Professional (CCP) Certified Information Systems Security Profession

al (CISSP)

Certified Information Security Manager (CISM) Certified Public Accountant (CPA) Chartered Accountant (CA) Chartered Certified Accountant (CCA) GIAC Certified System & Network Auditor (GSNA)[7]

Referências Bibliográficas Casey, Eoghan.Digital Evidence and Computer Crime,

Second Edition [Hardcover] Schneier, Bruce. Segurança .com. Campus. 2001 Stallings, William. Cryptography and Network Security:

Principles and Practice. 2a ed. Prentice Hall, 1999. Tanenbaum, Andrew S. Redes De Computadores. 4a ed.

Campus. 2003 Nakamura, Emílio Tissato e Geus, Paulo Lício de.

Segurança de redes em ambientes cooperativos. São Paulo: Berkeley Brasil, 2002.

RicardoTheil. Segurança e Rastreabilidade das Informações. CINTEC Informática 2003. Joinville.SC

www.inf.ufsc.br/~custodio www.vision.ime.usp.br/~mehran http://www.marcomendes.hpg.com.br/

Auditoria |

Information security audit An information security audit is an audit on the level of

information security in an organization. Within the broad scope of auditing information security there are multiple type of audits, multiple objectives for different audits, etc. Most commonly the controls being audited can be categorized to technical, physical and administrative. Auditing information security covers topics from auditing the physical security of data centers to the auditing logical security of databases and highlights key components to look for and different methods for auditing these areas.

When centered on the IT aspects of information security, it can be seen as a part of an information technology audit. It is often then referred to as an information technology security audit or a computer security audit. However, information security encompasses much more than IT.

Auditoria |

Contents 1 The audit process

1.1 Audit planning & preparation 1.2 Establishing audit objectives 1.3 Performing the review 1.4 Issuing the review report

2 The audited systems 2.1 Network vulnerabilities 2.2 Controls 2.3 Encryption and IT audit 2.4 Logical security audit 2.5 Specific tools used in network security

3 Auditing application security 3.1 Application security 3.2 Segregation of duties 3.3 Summary

4 See also 5 References and further reading

Auditoria |

[edit] The audit process [edit] Audit planning & preparation The auditor should be adequately educated about the company and

its critical business activities before conducting a data center review. The objective of the data center is to align data center activities with the goals of the business while maintaining the security and integrity of critical information and processes. To adequately determine if whether or not the client’s goal is being achieved, the auditor should perform the following before conducting the review:

Meet with IT management to determine possible areas of concern Review the current IT organization chart Review job descriptions of data center employees Research all operating systems, software applications and data center

equipment operating within the data center Review the company’s IT policies and procedures Evaluate the company’s IT budget and systems planning

documentation Review the data center’s disaster recovery plan

Auditoria |

[edit] Establishing audit objectives The next step in conducting a review of a corporate data center takes place

when the auditor outlines the data center audit objectives. Auditors consider multiple factors that relate to data center procedures and activities that potentially identify audit risks in the operating environment and assess the controls in place that mitigate those risks. After thorough testing and analysis, the auditor is able to adequately determine if the data center maintains proper controls and is operating efficiently and effectively.

Following is a list of objectives the auditor should review: Personnel procedures and responsibilities including systems and cross-

functional training Change management processes are in place and followed by IT and

management personnel Appropriate back up procedures are in place to minimize downtime and

prevent loss of important data The data center has adequate physical security controls to prevent

unauthorized access to the data center Adequate environmental controls are in place to ensure equipment is

protected from fire and flooding

Auditoria |

[edit] Performing the review The next step is collecting evidence to satisfy data center audit objectives. This involves traveling to the

data center location and observing processes and procedures performed within the data center. The following review procedures should be conducted to satisfy the pre-determined audit objectives:

Data center personnel – All data center personnel should be authorized to access the data center (key cards, login ID’s, secure passwords, etc.). Data center employees are adequately educated about data center equipment and properly perform their jobs. Vendor service personnel are supervised when doing work on data center equipment. The auditor should observe and interview data center employees to satisfy their objectives.

Equipment – The auditor should verify that all data center equipment is working properly and effectively. Equipment utilization reports, equipment inspection for damage and functionality, system downtime records and equipment performance measurements all help the auditor determine the state of data center equipment. Additionally, the auditor should interview employees to determine if preventative maintenance policies are in place and performed.

Policies and Procedures – All data center policies and procedures should be documented and located at the data center. Important documented procedures include: data center personnel job responsibilities, back up policies, security policies, employee termination policies, system operating procedures and an overview of operating systems.

Physical security / environmental controls – The auditor should assess the security of the client’s data center. Physical security includes bodyguards, locked cages, man traps, single entrances, bolted down equipment, and computer monitoring systems. Additionally, environmental controls should be in place to ensure the security of data center equipment. These include: Air conditioning units, raised floors, humidifiers and uninterruptible power supply.

Backup procedures – The auditor should verify that the client has backup procedures in place in the case of system failure. Clients may maintain a backup data center at a separate location that allows them to instantaneously continue operations in the instance of system failure.

Auditoria |

[edit] Issuing the review report The data center review report should

summarize the auditor’s findings and be similar in format to a standard review report. The review report should be dated as of the completion of the auditor's inquiry and procedures. It should state what the review entailed and explain that a review provides only "limited assurance" to third parties.

Auditoria |

[edit] The audited systems [edit] Network vulnerabilities Main article: Computer security audit Interception: Data that is being transmitted over the

network is vulnerable to being intercepted by an unintended third party who could put the data to harmful use.

Availability: Networks have become wide-spanning, crossing hundreds or thousands of miles which many rely on to access company information, and lost connectivity could cause business interruption.

Access/entry point: Networks are vulnerable to unwanted access. A weak point in the network can make that information available to intruders. It can also provide an entry point for viruses and Trojan horses.

Auditoria |

[edit] Controls Interception controls: Interception can be partially deterred by physical access controls at

data centers and offices, including where communication links terminate and where the network wiring and distributions are located. Encryption also helps to secure wireless networks.

Availability controls: The best control for this is to have excellent network architecture and monitoring. The network should have redundant paths between every resource and an access point and automatic routing to switch the traffic to the available path without loss of data or time.

Access/entry point controls: Most network controls are put at the point where the network connects with external network. These controls limit the traffic that pass through the network. These can include firewalls, intrusion detection systems, and antivirus software.

The auditor should ask certain questions to better understand the network and its vulnerabilities. The auditor should first assess what the extent of the network is and how it is structured. A network diagram can assist the auditor in this process. The next question an auditor should ask is what critical information this network must protect. Things such as enterprise systems, mail servers, web servers, and host applications accessed by customers are typically areas of focus. It is also important to know who has access and to what parts. Do customers and vendors have access to systems on the network? Can employees access information from home? Lastly the auditor should assess how the network is connected to external networks and how it is protected. Most networks are at least connected to the internet, which could be a point of vulnerability. These are critical questions in protecting networks.

Auditoria |

[edit] Encryption and IT audit In assessing the need for a client to implement encryption policies for their organization, the

Auditor should conduct an analysis of the client’s risk and data value. Companies with multiple external users, e-commerce applications, and sensitive customer/employee information should maintain rigid encryption policies aimed at encrypting the correct data at the appropriate stage in the data collection process.

Auditors should continually evaluate their client’s encryption policies and procedures. Companies that are heavily reliant on e-commerce systems and wireless networks are extremely vulnerable to the theft and loss of critical information in transmission. Policies and procedures should be documented and carried out to ensure that all transmitted data is protected. Companies can base their policies on the Control Objectives for Information and related Technology (COBIT) guidelines established by the IT Governance Institute (ITGI) and Information Systems Audit and Control Association (ISACA). The IT auditor should be adequately informed about COBIT guidelines.

The auditor should verify that management has controls in place over the data encryption management process. Access to keys should require dual control, keys should be composed of two separate components and should be maintained on a computer that is not accessible to programmers or outside users. Furthermore, management should attest that encryption policies ensure data protection at the desired level and verify that the cost of encrypting the data does not exceed the value of the information itself. All data that is required to be maintained for an extensive amount of time should be encrypted and transported to a remote location. Procedures should be in place to guarantee that all encrypted sensitive information arrives at its location and is stored properly. Finally the auditor should attain verification from management that the encryption system is strong, not attackable and compliant with all local and international laws and regulations.

Auditoria |

[edit] Logical security audit The first step in an audit of any system is to seek to understand its components and its

structure. When auditing logical security the auditor should investigate what security controls are in place, and how they work. In particular, the following areas are key points in auditing logical security:

Passwords: Every company should have written policies regarding passwords, and employee’s use of them. Passwords should not be shared and employees should have mandatory scheduled changes. Employees should have user rights that are in line with their job functions. They should also be aware of proper log on/ log off procedures. Also helpful are security tokens, small devices that authorized users of computer programs or networks carry to assist in identity confirmation. They can also store cryptographic keys and biometric data. The most popular type of security token (RSA’s SecurID) displays a number which changes every minute. Users are authenticated by entering a personal identification number and the number on the token.

Termination Procedures: Proper termination procedures so that old employees can no longer access the network. This can be done by changing passwords and codes. Also, all id cards and badges that are in circulation should be documented and accounted for.

Special User Accounts: Special User Accounts and other privileged accounts should be monitored and have proper controls in place.

Remote Access: Remote access is often a point where intruders can enter a system. The logical security tools used for remote access should be very strict. Remote access should be logged.

Auditoria |

[edit] Specific tools used in network security Network security is achieved by various tools including firewalls and proxy servers, encryption, logical security and access controls

, anti-virus software, and auditing systems such as log management. Firewalls are a very basic part of network security. They are often placed between the private local network and the internet.

Firewalls provide a flow through for traffic in which it can be authenticated, monitored, logged, and reported. Some different types of firewalls include: network layer firewalls, screened subnet firewalls, packet filter firewalls, dynamic packet filtering firewalls, hybrid firewalls, transparent firewalls, and application-level firewalls.

The process of encryption involves converting plain text into a series of unreadable characters known as the ciphertext. If the encrypted text is stolen or attained while in transit, the content is unreadable to the viewer. This guarantees secure transmission and is extremely useful to companies sending/receiving critical information. Once encrypted information arrives at its intended recipient, the decryption process is deployed to restore the ciphertext back to plaintext.

Proxy servers hide the true address of the client workstation and can also act as a firewall. Proxy server firewalls have special software to enforce authentication. Proxy server firewalls act as a middle man for user requests.

Antivirus software programs such as McAfee and Symantec software locate and dispose of malicious content. These virus protection programs run live updates to ensure they have the latest information about known computer viruses.

Logical security includes software safeguards for an organization’s systems, including user ID and password access, authentication, access rights and authority levels. These measures are to ensure that only authorized users are able to perform actions or access information in a network or a workstation.

Auditing systems, track and record what happens over an organization’s network. Log Management solutions are often used to centrally collect audit trails from heterogeneous systems for analysis and forensics. Log management is excellent for tracking and identifying unauthorized users that might be trying to access the network, and what authorized users have been accessing in the network and changes to user authorities. Software that record and index user activities within window sessions such as ObserveIT provide comprehensive audit trail of user activities when connected remotely through terminal services, Citrix and other remote access software.[1]

According to a 2006 survey of 3243 Nmap users by Insecure.Org,[2] Nessus, Wireshark, and Snort were some top-rated network security tools. According to the same survey, the BackTrack Live CD is the top rated information security auditing and penetration testing distribution. Nessus is a remote security scanner that performs over 1200 security checks for Linux, BSD, and Solaris. Wireshark analyzes network protocol for Unix and Windows, and Snort is an intrusion detection system that also supports Microsoft Windows. Nessus, Wireshark, and Snort are free. Some other popular products for network security include OmniGuard, Guardian, and LANGuard. Omniguard is a firewall, as is Guardian which also provides virus protection. LANGuard provides network auditing, intrusion detection, and network management. For log management, solutions from vendors such as SenSage and others are the choice for government agencies and highly regulated industries.

Auditoria |

[edit] Auditing application security [edit] Application security Application Security centers around three main functions: Programming Processing Access When it comes to programming it is important to ensure proper physical and password protection exists around

servers and mainframes for the development and update of key systems. Having physical access security at your data center or office such as electronic badges and badge readers, security guards, choke points, and security cameras is vitally important to ensuring the security of your applications and data. Then you need to have security around changes to the system. Those usually have to do with proper security access to make the changes and having proper authorization procedures in place for pulling through programming changes from development through test and finally into production.

With processing it is important that procedures and monitoring of a few different aspects such as the input of falsified or erroneous data, incomplete processing, duplicate transactions and untimely processing are in place. Making sure that input is randomly reviewed or that all processing has proper approval is a way to ensure this. It is important to be able to identify incomplete processing and ensure that proper procedures are in place for either completing it, or deleting it from the system if it was in error. There should also be procedures to identify and correct duplicate entries. Finally when it comes to processing that is not being done on a timely basis you should back-track the associated data to see where the delay is coming from and identify whether or not this delay creates any control concerns.

Finally, access, it is important to realize that maintaining network security against unauthorized access is one of the major focuses for companies as threats can come from a few sources. First you have internal unauthorized access. It is very important to have system access passwords that must be changed regularly and that there is a way to track access and changes so you are able to identify who made what changes. All activity should be logged. The second arena to be concerned with is remote access, people accessing your system from the outside through the internet. Setting up firewalls and password protection to on-line data changes are key to protecting against unauthorized remote access. One way to identify weaknesses in access controls is to bring in a hacker to try and crack your system by either gaining entry to the building and using an internal terminal or hacking in from the outside through remote access.

Auditoria |

[edit] Segregation of duties When you have a function that deals with money either incoming or outgoing it is very important to

make sure that duties are segregated to minimize and hopefully prevent fraud. One of the key ways to ensure proper segregation of duties (SoD) from a systems perspective is to review individuals’ access authorizations. Certain systems such as SAP claim to come with the capability to perform SoD tests, but the functionality provided is elementary, requiring very time consuming queries to be built and is limited to the transaction level only with little or no use of the object or field values assigned to the user through the transaction, which often produces misleading results. For complex systems such as SAP, it is often preferred to use tools developed specifically to assess and analyze SoD conflicts and other types of system activity. For other systems or for multiple system formats you should monitor which users may have super user access to the system giving them unlimited access to all aspects of the system. Also, developing a matrix for all functions highlighting the points where proper segregation of duties has been breached will help identify potential material weaknesses by cross checking each employee’s available accesses. This is as important if not more so in the development function as it is in production. Ensuring that people who develop the programs are not the ones who are authorized to pull it into production is key to preventing unauthorized programs into the production environment where they can be used to perpetrate fraud.

[edit] Summary By and large the two concepts of application security and segregation of duties are both in many

ways connected and they both have the same goal, to protect the integrity of the companies’ data and to prevent fraud. For application security it has to do with preventing unauthorized access to hardware and software through having proper security measures both physical and electronic in place. With segregation of duties it is primarily a physical review of individuals’ access to the systems and processing and ensuring that there are no overlaps that could lead to fraud.

Auditoria |

[edit] Summary By and large the two concepts of application

security and segregation of duties are both in many ways connected and they both have the same goal, to protect the integrity of the companies’ data and to prevent fraud. For application security it has to do with preventing unauthorized access to hardware and software through having proper security measures both physical and electronic in place. With segregation of duties it is primarily a physical review of individuals’ access to the systems and processing and ensuring that there are no overlaps that could lead to fraud.

Auditoria | Tipos (1 | 3)

Tipos de Auditorias

Various authorities have created differing taxonomies to distinguish the various types of IT audits. Goodman & Lawless state that there are three specific systematic approaches to carry out an IT audit [1]:

Technological innovation process audit. This audit constructs a risk profile for existing and new projects. The audit will assess the length and depth of the company's experience in its chosen technologies, as well as its presence in relevant markets, the organization of each project, and the structure of the portion of the industry that deals with this project or product, organization and industry structure.

Innovative comparison audit. This audit is an analysis of the innovative abilities of the company being audited, in comparison to its competitors. This requires examination of company's research and development facilities, as well as its track record in actually producing new products.

Technological position audit: This audit reviews the technologies that the business currently has and that it needs to add. Technologies are characterized as being either "base", "key", "pacing", or "emerging".

Auditoria | Tipos (2 | 3)

Tipos de Auditoria

Systems and Applications: An audit to verify that systems and applications are appropriate, are efficient, and are adequately controlled to ensure valid, reliable, timely, and secure input, processing, and output at all levels of a system's activity.

Information Processing Facilities: An audit to verify that the processing facility is controlled to ensure timely, accurate, and efficient processing of applications under normal and potentially disruptive conditions.

Systems Development: An audit to verify that the systems under development meet the objectives of the organization, and to ensure that the systems are developed in accordance with generally accepted standards for systems development.

Management of IT and Enterprise Architecture: An audit to verify that IT management has developed an organizational structure and procedures to ensure a controlled and efficient environment for information processing.

Client/Server, Telecommunications, Intranets, and Extranets: An audit to verify that controls are in place on the client (computer receiving services), server, and on the network connecting the clients and servers.

Auditoria | Tipos (3 | 3)

Tipos de Auditoria

And some lump all IT audits as being one of only two type: "general control review" audits or "application control review" audits.

A number of IT Audit professionals from the Information Assurance realm consider there to be three fundamental types of controls regardless of the type of audit to be performed, especially in the IT realm. Many frameworks and standards try to break controls into different disciplines or arenas, terming them “Security Controls“, ”Access Controls“, “IA Controls” in an effort to define the types of controls involved. At a more fundamental level, these controls can be shown to consist of three types of fundamental controls: Protective/Preventative Controls, Detective Controls and Reactive/Corrective Controls.

Auditoria | Controles

Protective/Preventative Controls Protective or Preventative controls serve to

proactively define and possibly enforce acceptable behaviors. As an example, a set of common accounting rules are defined and must be followed by any publicly traded company. Each quarter any particular company must publicly state iProtective or Preventative controls.

Auditoria | Controles

Detective Controls Detective controls are often thought of as “Audit Controls”

though we do not need to restrict them. Any control that performs a monitoring activity can likely be defined as a Detective Control. Continuing the example of accounting rules, it is possible that mistakes, either intentional or unintentional, can be made. Therefore, an additional Protective control is that these companies must have their financial results audited by an independent Certified Public Accountant. The role of this accountant is to act as an auditor. In fact, any auditor acts as a Detective control! If the organization in question has not properly followed the rules, a diligent auditor should be able to detect the deficiency which indicates that some control somewhere has failed.

Auditoria | Controles

Reactive/Corrective Controls Reactive or corrective controls typically work in

response to a detective control, responding in such a way as to alert or otherwise correct an unacceptable condition. Using the example of account rules, either the internal Audit Committee or the SEC itself, based on the report generated by the external auditor, will take some corrective action. In this way they are acting as a Corrective or Reactive control.

Auditoria | Controles

Needless to say, the same can be said of any set of cooperating controls in an Information Technology or Information Assurance framework. In fact, what experience has shown is that when organizations suffer some loss, compromise or other security breach, the most common problem is that they are missing a control. Which control? That can’t be answered in a general way, but we can say that generally they are lacking either a Preventative, Detective or Reactive control.

Auditoria | Segurança

Security Auditing information security is a vital part of any IT

audit and is often understood to be the primary purpose of an IT Audit. The broad scope of auditing information security includes such topics as data centers (the physical security of data centers and the logical security of databases, servers and network infrastructure components)[2], networks and application security. Like most technical realms, these topics are always evolving; IT auditors must constantly continue to expand their knowledge and understanding of the systems and environment& pursuit in system company.

Auditoria | Segurança

Security A number of training and certification

organizations have evolved. Currently, the major certifying bodies in the field are the Institute of Internal Auditors (IIA)[3], the SANS Institute (specifically, the audit specific branch of SANS and GIAC)[4] and ISACA[5]. While CPAs and other traditional auditors can be engaged for IT Audits, organizations are well advised to require that individuals with some type of IT specific audit certification are employed when validating the controls surrounding IT systems.

Auditoria | História e LeisHistory of IT Auditing

The concept of IT auditing was formed in the mid-1960s. Since that time, IT auditing has gone through numerous changes, largely due to advances in technology and the incorporation of technology into business.

Law regarding IT auditing Several information technology audit related laws and regulations

have been introduced in the United States since 1977. These include the Gramm-Leach-Bliley Act, the Sarbanes-Oxley Act, the Health Insurance Portability and Accountability Act , Part 11, the London Stock Exchange Combined Code, King II, and the Foreign Corrupt Practices Act .

In the European Union, Directive 95/46/EC on the protection of personal data exists primarily to ensure the protection of the privacy of individuals in regards to digital information.

Auditoria | Profissionais

Qualifications As the field is relatively young, not all jurisdictions have fixed standards for

evaluating the qualifications of IT audit personnel. Since auditors will be responsible for evaluating the controls affecting the recording and safekeeping of assets, it is recommended that IT personnel have detailed knowledge regarding information systems with a general understanding of accounting principles.

In the United States, usually it is considered desirable that IT audit personnel have received or qualify to receive the Certified Information Systems Auditor (CISA), Certified Internal Auditor (CIA), GIAC Certified System and Network Auditor (GSNA), Certified Information Systems Security Professional (CISSP), Certified Public Accountant (CPA), Diploma in Information System Audit (DISA from the Institute of Chartered Accountants of India (ICAI-India)(ICAI)) and Certification and Accreditation Professional (CAP) credentials. The CISM and CAP credentials are the two newest security auditing credentials, offered by the ISACA and ISC2, respectively. Strictly speaking, only the CISA or GSNA title would sufficiently demonstrate competences regarding both information technology and audit aspects with the CISA being more audit focused and the GSNA being more information technology focused.[6]

Auditoria | Futuro

Emerging Issues Technology changes rapidly and so do the

issues that IT auditors face. Some emerging issues include biometric retinal scans, changes in physical security, and transmitting data from cell phones.

There are also new audits being imposed by various standard boards which are required to be performed, depending upon your organization, which will affect IT and ensure that IT departments are performing certain functions and controls appropriately to be considered compliant. An example of such an audit is the newly minted SSAE 16.